Program Nagród za Znalezienie Błędów

Nagrody za znalezienie błędów pozwala deweloperom na odkrywanie i rozwiązanie błędów, zanim ogół użytkowników się dowie o ich istnieniu, zapobiegając incydentom nadużycia. Jeżeli znajdziesz jakieś luki w zabezpieczeniach produktów wymienionych poniżej, prosimy o ich natychmiastowe zgłoszenie.

  • Mainnet
  • Portfel Dash Core Desktop
  • Portfel Dash na Androidzie
  • Portfel Dash na iOS

Odpowiedzialne ujawnienie

Ponieaż program ten jest prywatny, prosimy o nie dyskutowanie o tym programie lub jakichkolwiek błędach (nawet jeśli już są rozwiązane) poza tym programem, bez zgody organizatorów. Jeśli wolisz zgłośić problem za pomocą zaszyfrowanego emaila, mozesz ściągnąć klucz powyżej i wysłać szczegóły na ten adres: infosec@dash.org.

Wymagania kwalifikacyjne dla osób fizycznych

  • Nie możesz mieć żadnych zobowiązań umownych z DCG
  • Nie możesz mieć żadnych zobowiązań umownych z DIF
  • Nie możesz być aktywnym członkiem zarządu Dash Trust
  • Nie możesz otrzymać wynagrodzenia z inkubatora za ten sam błąd
  • Musisz podać podstawowe informacje KYC (paszport, dowód osobisty itp.)
  • Odbiorcy muszą podać konto bankowe w USD lub adres Dash na jednej z większych giełd.
  • Rezydenci / obywatele krajów objętych ograniczeniami OFAC mogą zgłaszać błędy, ale nie będą kwalifikować się do wypłaty

Nagrody

Celem programu DCG Bounty jest wykrycie istotnych luk w kodzie, które mają bezpośredni i możliwy do udowodnienia wpływ na bezpieczeństwo naszych użytkowników. Zgłoszenia dotyczące błędów w kodzie muszą spełniać określone kryteria, aby kwalifikować się do nagrody. Wysokość nagrody jest oparta na kombinacji priorytetu i wagi.

  • Poziom 1 (60 Punktów) = $5,000
  • Poziom 2 (50 Punktów) = $2,000
  • Poziom 3 (40 Punktów) = $750
  • Poziom 4 (30 Punktów) = $200
  • Poziom 5 (20 Punktów) = $50
Priorytet
(Wysoki)
Priorytet
(Średni)
Priorytet
(Niski)
Waga
(Wysoka)
60 punktów
50 punktów
40 punktów
Nagroda
$5,000
$2,000
$750
Waga
(Średnia)
50 punktów
40 punktów
30 punktów
Nagroda
$2,000
$750
$200
Waga
(Niska)
40 punktów
30 punktów
20 punktów
Nagroda
$750
$200
$50

KTO SIĘ KWALIFIKUJE

  • Zidentyfikuj lukę, która nie została wcześniej zgłoszona lub w inny sposób znana DCG
  • Taka podatność musi być odtwarzalna w jednym z produktów objętych programem przez DCG
  • Dołącz jasne, zwięzłe i powtarzalne kroki, na piśmie lub w formacie wideo
    • Zapewnij naszym inżynierom informacje niezbędne do szybkiego odtworzenia, zrozumienia i rozwiązania problemu

CO SIĘ NIE KWALIFIKUJE

  • Luki, które aby mogły zostać wykorzystane, wymagają dostępu root/jailbreak, z wyjątkiem jeśli root/jailbreak jest zrobiony przez atakującego po uzyskaniu fizycznego dostępu do urządzenia
  • Biblioteki innych firm, które nie są własnością DCG
obrazek wysokiej wagi

Wysoki poziom ważności

30 Punktów Może spowodować utratę środków
Bez dostępu do urządzenia

Ujawnienie klucza prywatnego, ujawnienie listy słów odzyskiwania portfela, atak lub obejście kodu PIN

obrazek średniej wagi

Średni poziom ważności

20 Punktów Uniemożliwia wysyłanie lub otrzymanie środków
Bez dostępu do urządzenia

Nie można zsynchronizować z siecią, stały błąd podczas próby wysłania Dash, niemożliwość odbioru transakcji, która została pomyślnie przesłana do sieci

Naruszenie prywatności
Z dostępem do urządzenia

Ujawnienie klucza prywatnego, ujawnienie listy słów odzyskiwania porfela, atak lub obejście kodu PIN, ujawnienie salda lub transakcji bez wymaganego uwierzytlnienia

obrazek niskiej wagi

Niski poziom ważności

10 Punktów

Saldo portfela i transakcje
Z dostępem do urządzenia Nieprawidłowe saldo, niepełna historia transakcji, którą można odtworzyć, nie można odzyskać ważnego portfela


 

obrazek niskiego priorytetu

Wysoki Priorytet

30 Punktów Bardzo prawdopodobny, może wystąpić na każdym modelu urządzenia i w dowolnej lokalizacji z najnowszą wersją systemu operacyjnego, nie wymaga instalacji dodatkowego oprogramowania na urządzeniu

obrazek średniego priorytetu

Średni Priorytet

20 Punktów Umiarkowane prawdopodobieństwo wystąpienia, może wystąpić tylko na określonych modelach urządzeń w dowolnej lokalizacji w jakiejkolwiek wersji systemu operacyjnego, lub może wystąpić na każdym modelu urządzenia w określonej lokalizacji w jakiekolwiek wersji systemu operacyjnego

obrazek niskiego priorytetu

Niski Priorytet

10 Punktów Niskie prawdopodobieństwo wystąpienia, może wystąpić tylko w konkretnym modelu urządzenia lub w określonej lokalizacji z określoną wersją systemu operacyjnego

Wypłata Nagród

  • Nagrody zostaną wypłacone w Dash na podstawie aktualnej ceny w USD w dniu/godzinie pierwotnego zgłoszenia
    • Kwoty Dash oparte są na średniej cenie USD opublikowanej na Messari.io
  • Wypłaty nie pokryją żadnych opłat bankowych/przelewowych
  • DCG podejmie ostateczne decyzje dotyczące punktacji wagi i priorytetu